Flow Foundation décrit en détail l'attaque informatique de décembre impliquant un faux token

Flow Foundation a publié un rapport d’incident concernant l’exploitation d’une vulnérabilité protocolaire survenue le 27/12, permettant aux attaquants de créer des tokens contrefaits sur le réseau, causant des dégâts d’environ 3,9 millions USD. Le problème provenait d’une erreur dans l’environnement d’exécution Cadence, permettant aux actifs d’être dupliqués au lieu d’être mintés, contournant ainsi le contrôle de l’offre mais sans affecter les soldes des utilisateurs.

Les validateurs ont coordonné un arrêt temporaire du réseau pendant six heures, mettant le système en mode lecture seule pour prévenir la propagation. La plupart des tokens contrefaits ont été gelés avant d’être vendus. Le réseau a été restauré après deux jours selon le plan de récupération isolée et les faux tokens ont été récupérés et détruits via le mécanisme de gouvernance.

Flow affirme qu’aucun compte n’a perdu de fonds, tandis que le projet a corrigé la vulnérabilité, renforcé les vérifications de sécurité et élargi son programme de bug bounty. Cependant, suite à l’incident, le prix du token FLOW a fortement baissé de près de 40% avant une légère récupération.